公开提供了数千个敏感记录
印度的美国快递帐户持有人在另一个错误配置的数据存储的情况下暴露了其个人信息,每日swbeplay2018官网ig可以揭示。
在属于Amex India Service的MongoDB数据库中,发现了超过689,000个未加密的记录,其中包含名称,电话号码,电子邮件和卡类型。
现在已经确保了数据库,据信,没有恶意政党在暴露的至少五天内获得了访问数据的访问。
安全研究员鲍勃·迪亚金科(Bob Diachenko)于10月23日发现了这一问题每日swbeplay2018官网ig由于配置错误的防火墙,MongoDB的文档数据库可以无意间公开。
Diachenko说:“人们永远不知道瞬时防火墙规则可能会无意间将您的开发机向公众展示。”在博客文章中,一旦通知,它就鼓掌了AMEX迅速删除受影响的服务器的努力。
他补充说:“我倾向于相信数据库不是由AMEX管理的,而是其分包商负责SEO或潜在客户产生的。”
Diachekno指出,数据库上持有的大量数据(总共2,332,115个记录)已加密,因此免于无需键的观看。据说这些信息包括名称,地址,电话号码和身份证。
尽管Amex重申其数据库具有顶级加密,但Diachekno仍然发现了很大一部分数据,这些数据易于查看。
Diachenko说:“几个集合包含了可读的链接和访问详细信息,可与AmericaneXpressIndia.co.in的服务和帐户进行访问详细信息,域,手机号码,名称等。”
有多种方式可以将MongoDB进行错误的配置,并且NOSQL数据库的持续违规行为已证明,设计安全性并不是其开发人员的重中之重。
去年,微软的安全研究员那样对MongoDB的攻击仅在半天内就达到了27,000个曝光数据库,这与所有模型默认情况下并不需要身份验证有关在2.6.0之前。
DiaChekno通过BinaryEdge.io(类似于Shodan)的数据集搜索引擎确定了未受保护的MongoDB。
每日swbeplay2018官网ig已与美国快车征询评论。
